Десять способов наблюдения за действиями пользователей в сети предприятия
Нравится вам это или нет, но сегодня сетевым администраторам приходится, помимо всего прочего, выполнять еще и роль «Большого брата», наблюдая за тем, как сотрудники компании используют корпоративные компьютеры и подключение к Интернету. Даже если управленческая философия компании в какой-то степени допускает использование корпоративных ресурсов в частных целях, руководству важно знать, какие сайты сотрудники посещают, какие файлы отправляют и получают, а порой даже - о чем они пишут в электронных письмах.
Дело в том, что некоторые действия сотрудников могут поставить компанию под угрозу денежных убытков, судебного и даже уголовного преследования — если они связаны с намеренным или ненамеренным раскрытием конфиденциальной информации, распространением материалов порнографического содержания или загрузкой вредоносного программного обеспечения. Согласно данным, опубликованным в июльском номере журнала «HR Focus» за 2005 год, более 60% работодателей следят за тем, как их работники используют корпоративное подключение к Интернету. В этой статье рассказывается о десяти способах наблюдения за тем, чем пользователи занимаются за компьютерами компании.
Использование функции аудита для контроля за доступом к файлам
В сети на базе Windows для наблюдения за тем, какие файлы сотрудники открывают (или даже пытаются, но не могут открыть), можно использовать функцию аудита, которая является неотъемлемым элементом операционной системы. В Windows 2000 и более новых версиях аудит включается через редактор групповой политики. Настройка аудита для контроля за доступом к файлам и папкам осуществляется в два этапа. Во-первых, необходимо включить функцию аудита в интерфейсе групповой политики. Во-вторых, нужно включить аудит в свойствах тех сетевых объектов (файлов или папок), за доступом к которым вы хотите наблюдать. Подробнее о настройке аудита для контроля за доступом к файлам, папкам и принтерам на компьютерах с операционной системой Windows XP читайте в справочной статье KB №3103 на сайте Microsoft.
Просмотр файлов в кэше веб-браузера
Если сеть состоит всего из нескольких компьютеров, узнать, какие сайты посещают их пользователи, можно даже без специального программного обеспечения — достаточно просмотреть файлы в кэше веб-браузера (в Internet Explorer это называется «Временные файлы Интернета»/Temporary Internet Files). В кэше хранятся копии страниц и изображений, загруженных пользователем — с тем, чтобы при повторном посещении того же сайта страницы загружались быстрее. Правда, опытные пользователи, посещающие сайты, о которых не хотят рассказывать своим работодателям, прекрасно знают об этой функции и могут очищать за собой кэш, чтобы никто не увидел этих файлов.
В Windows XP можно усложнить таким умникам задачу, воспользовавшись бесплатной утилитой Microsoft «Пользовательские ограничения» (User Restrictions Tool) из пакета Shared Computer Toolkit, чтобы запретить пользователям доступ к пункту меню «Сервис | Свойства обозревателя» (Internet Options | Tools), из которого и осуществляется очистка журнала и кэша.
Наблюдение за поведением пользователей в Интернете с помощью брандмауэра
Еще один способ наблюдения за тем, какие сайты посещают пользователи — настроить брандмауэр на ведение журнала посещений веб-сайтов для каждой учетной записи и/или компьютера. Брандмауэры периметра сети масштаба предприятия — например, Microsoft ISA Server, Cisco PIX и CheckPoint Firewall-1 — имеют встроенные функции ведения журнала или допускают подключение специальных дополнений, дающих возможность регистрировать все случаи доступа к сайтам, соединение с которыми проходит через брандмауэр, и получать сведения о том, с какого компьютера и под какой учетной записью был осуществлен доступ к тому или иному сайту.
О том, как включить эту функцию, читайте в документации на свой брандмауэр. Можно также воспользоваться одним из следующих дополнений:
SurfControl WebSense GFI Webmonitor
Фильтрация доступа к сайтам по URL-адресам
Можно пойти еще дальше: не просто наблюдать, какие странички посещают сотрудники компании, а вообще заблокировать доступ к нежелательным сайтам. Это особенно удобно в случае с порнографическими сайтами, посещение которых может поставить компанию под угрозу судебного преследования по обвинению в сексуальных домогательствах, а также применительно к сайтам, на которых размещается для загрузки вредоносное программное обеспечение (например, хакерские порталы). Можно заблокировать доступ и к сайтам «для досуга» (развлекательные порталы, чаты и тому подобное), чтобы сотрудники не тратили рабочее время на посторонние вещи.
Выбор программ для блокировки сайтов по URL-адресам огромен — от приложений для домашних пользователей (NetNanny, Cybersitter) до мощных программных продуктов масштаба предприятия от таких производителей, как SurfControl, Websense и GFI, о котором упоминалось выше. Фильтрация доступа к сайтам по ключевым словам
Недостаток фильтрации по URL-адресам или доменным именам заключается в том, что для этого нужно знать адреса сайтов, доступ к которым необходимо отслеживать или блокировать. Многие компании (в том числе производители программного обеспечения для блокировки интернет-доступа) составляют черные списки сайтов, доступ к которым по тем или иным причинам признан нежелательным. Однако даже несмотря на регулярное обновление таких списков, кажется сомнительным, чтобы в них вошли все нежелательные сайты.
Некоторые брандмауэры и дополнительные программы позволяют блокировать доступ к сайтам не просто по адресам, а по ключевым словам.
Наблюдение за содержанием входящих и исходящих электронных писем
Наблюдать за электронной перепиской сотрудников позволяют программы типа Spector CNE от SpectorSoft, которая сочетает в себе функции приложения Spector Pro для индивидуальных пользователей с возможностями установки, настройки и массового развертывания на уровне корпоративной сети. Эта программа автоматически перехватывает и просматривает входящие и исходящие сообщения, предупреждая администратора при обнаружении определенных ключевых слов или фраз. Кроме того, CNE позволят наблюдать за содержанием посещаемых сайтов, перепиской в системах мгновенного обмена сообщениями и за любыми другими видами активности в Интернете. Программа позволяет также регистрировать содержание набираемого на клавиатуре текста и сохранять снимки экрана.
Наблюдение за содержанием переписки в системах мгновенного обмена сообщениями (IM)
Переписка в системах мгновенного обмена сообщениями зачастую является одним из главных источников утечки важной информации, потому что пользователи общаются в режиме реального времени и часто пишут быстрее, чем думают. Мгновенный обмен сообщениями можно полностью заблокировать, закрыв порты, используемые IM-клиентами, в брандмауэре или воспользовавшись программами типа Akonix Enterprise или IMlogic IM Manager. Однако мгновенный обмен сообщениями зачастую бывает неотъемлемой частью делового процесса: это один из способов оказания технической поддержки клиентам, средство общения с сотрудниками, поставщиками и так далее. В таком случае его следует не блокировать, а отслеживать. Программы Akonix и Imlogic можно с таким же успехом использовать для наблюдения за перепиской в системах мгновенного обмена сообщениями за счет применения специальной политики для тех или иных групп, сохранения статистики и других сведений. Например, можно разрешить обмен сообщениями, но заблокировать прием и отправку файлов через IM-клиент.
Использование средств регистрации работы клавиатуры (keylogger) для отслеживания вводимых данных
Средства регистрации работы клавиатуры сохраняют всю информацию, которую набирает пользователь. Они бывают двух видов — аппаратные и программные. Аппаратные средства типа KeyGhost представляют собой небольшое устройство, которое соединяет кабель клавиатуры с портом PS2 или USB компьютера. Программные средства можно настроить на пересылку записанных сообщений на удаленный компьютер. Часто они входят в состав более широкомасштабных программ мониторинга (например, CNE) или менее дорогих приложений для индивидуальных пользователей — к примеру, SpyRecon.
Использование утилит для сохранения снимков экрана для отслеживания действий пользователей
Утилиты для сохранения снимков экрана, как и средства регистрации работы клавиатуры, часто входят в состав пакетных продуктов для наблюдения за сетевой активностью. Такие утилиты позволяют наблюдать не только за тем, что пользователи набирают на клавиатуре, но и что они читают на экране монитора. Так можно не только узнать, какие сайты посещают сотрудники, но и увидеть, какие документы и изображения они просматривают, какие программы запускают, в какие игры играют в рабочее время и так далее.
Управление установкой и запуском программного обеспечения на компьютерах сотрудников
Для управления установкой и запуском программного обеспечения в Windows XP и Server 2003 можно использовать встроенные утилиты. Элемент групповой политики «Права пользователей» (User Rights) позволяет запретить пользователям установку программного обеспечения, а утилита «Установка программного обеспечения» (Software Installation) дает возможность управлять установкой программного обеспечения в масштабах всей сети. Чтобы выяснить, какие программы установлены на корпоративных компьютерах, и управлять их запуском, можно воспользоваться механизмом групповой политики «Политика ограничений при работе с программным обеспечением» (Software Restriction Policies).
